Wenn Cyberangreifer wieder zuschlagen ̶ und wieder
Die Mehrheit der Unternehmen, die Opfer eines Cyberangriffs werden, sind innerhalb eines Jahres erneut betroffen. Hier erfahren Sie, wie Sie Ihre Verteidigung verstärken und mehrere Angriffe verhindern können.
Wichtige Punkte
- Zwei Drittel der Unternehmen, die von einem Cyberangriff betroffen sind, werden innerhalb von 12 Monaten Opfer eines weiteren Angriffs.
- Wie - und wie schnell - ein Unternehmen auf einen Angriff reagiert, hat Einfluss auf die Wahrscheinlichkeit weiterer Angriffe.
- Unternehmen können vor, während und nach einem Vorfall eine Reihe von Maßnahmen ergreifen, um weitere Angriffe zu verhindern.
Ein einziger erfolgreicher Cyberangriff, der zu einer Datenschutzverletzung führt, kann ein Unternehmen Millionen von Dollar kosten - im weltweiten Durchschnitt 4,35 Millionen Dollar, um genau zu sein, so IBM.[1] Aber für viele Organisationen ist das noch nicht das Ende der Fahnenstange.
Zwei Drittel der Unternehmen, die von einer Cyberattacke betroffen sind, werden innerhalb eines Jahres erneut angegriffen, so das Ergebnis einer weltweiten Umfrage des Unternehmens Cymulate zum erweiterten Sicherheitsmanagement im Jahr 2022.[2] Einer von 10 Befragten gab an, 10 oder mehr Angriffe erlebt zu haben. Diese aufeinanderfolgenden Vorfälle können sich auf verschiedene Weise ereignen: gleichzeitig, im Abstand von einigen Tagen oder viele Monate später. Es kann sich um zusammengesetzte Exploits der gleichen Art oder um ganz andere Arten handeln.
Wie lange ein Unternehmen braucht, um festzustellen, dass es angegriffen wurde, wie lange es braucht, um sich davon zu erholen, und welche Maßnahmen es ergreift (oder nicht ergreift), um die Schwachstellen zu beseitigen, die es überhaupt erst für einen Angriff geöffnet haben, all das spielt eine Rolle bei der möglichen Wiederholung eines Angriffs. Mittelständische Unternehmen, die in der Regel langsamer reagieren, sind laut Cymulate häufiger von aufeinanderfolgenden Angriffen betroffen als größere Firmen.
Das Phänomen, Opfer von aufeinanderfolgenden Cyberangriffen zu werden, ist nicht unbedingt neu. Da Cybersecurity-Organisationen jedoch mit immer raffinierteren Angreifern konfrontiert sind, die in der Lage sind, hochkarätige Schwachstellen mit einsatzbereiter Ransomware auszunutzen, können die Folgen verheerend sein, die Abhilfemaßnahmen beeinträchtigen und den finanziellen Schaden und den Rufschaden noch vergrößern.
Dies unterstreicht, warum es für Sicherheitsverantwortliche wichtiger denn je ist, sowohl ihre Cyberabwehr als auch ihre Cyberresilienzzu stärken.
Offene Türen und offene Quellen: Ein Rezept für wiederholte Angriffe
Im Jahr 2022 dauerte es laut IBM durchschnittlich 277 Tage - also etwa neun Monate - bis ein Unternehmen eine Sicherheitsverletzung erkannt und eingedämmt hatte.[3] Während dieses langen Zeitraums können Cyberkriminelle nicht nur in der Umgebung verbleiben und dort Schaden anrichten, sondern auch die Mittel, mit denen sie eingedrungen sind, bleiben für andere verfügbar.
Und wenn ein Unternehmen die Schwachstellen, die den ersten Angriff ermöglichten, nicht vollständig beseitigt - z. B. eine Fehlkonfiguration, menschliches Versagen aufgrund mangelnden Cyber-Bewusstseins oder eine Softwareschwachstelle -, steht die Tür für weitere Angreifer offen.
Während einige Cyberangriffe Zero-Day-Schwachstellen ausnutzen, beruhen viele auf bekannten Schwachstellen in ungepatchten Systemen. Bösewichte haben außerdem einen beispiellosen Zugang zu Informationen und Werkzeugen, um die mangelnde Schnelligkeit oder Entschlossenheit einer Organisation bei der Reaktion auf einen Angriff und bei der Beseitigung seiner Ursache auszunutzen. Bedrohungsgruppen haben allgegenwärtige, aber leicht auszunutzende Schwachstellen wie Log4j und ProxyShell ausgenutzt, die mehrere Wege in ein und dasselbe Unternehmen bieten.
Aufgrund der fortschreitenden Kommerzialisierung der Internetkriminalitäthat sich das, was einst ein Eins-zu-eins-Kampf zwischen einem bösen Akteur oder einer Bande und einem Netzwerk war, zu einem Mehr-zu-eins-Angriff auf ein verwundbares System oder Netzwerk entwickelt. Jeder, auch mit begrenzten technischen Kenntnissen, kann aus bewährten Exploits Kapital schlagen, sei es durch die Zusammenarbeit mit initial access brokers - kriminelle Gruppen, die Schwachstellen in Unternehmen finden und diesen Zugang an andere verkaufen - oder durch die Nutzung von Ransomware-as-a-Service-Angeboten oder Phishing-Kits. Eine Schwachstelle kann also zu vielen Angriffen führen.
Verringerung der Wahrscheinlichkeit von wiederholten Verstößen
Verantwortliche für Cybersicherheit, die das Risiko wiederholter Angriffe auf ihr Unternehmen mindern wollen, müssen nicht nur Technologie, Schwachstellen und Lösungen berücksichtigen, sondern auch Menschen und Prozesse. Mit den folgenden Maßnahmen kann die Wahrscheinlichkeit von Mehrfachangriffen verringert werden:
- Bestehen Sie auf Postmortems: Die Durchführung von Ursachenanalysen bei erfolgreichen Angriffen ist von entscheidender Bedeutung (und etwas, das Mimecast ausgiebig tut, um seine eigene E-Mail-Gateway-Lösung kontinuierlich zu verbessern). Allzu oft sind die Sicherheitsteams jedoch so sehr mit der Reaktion auf einen Vorfall und den Aufräumarbeiten beschäftigt und so erschöpft, dass eine vollständige Überprüfung der Mitarbeiter, Prozesse und Technologien, die zu dem Angriff geführt haben könnten, übersehen wird.
- Einführung von Vorabprüfungen: Vorabprüfungen, eine Technik, die im Projektmanagement zur Ermittlung und Minderung von Risiken eingesetzt wird, können eine ebenso wirksame Methode sein, um die Schwachstellen zu beseitigen, die zu wiederholten Angriffen führen. Sicherheitsverantwortliche können ihren Teams Denkanstöße geben und Schwachstellen im Umfeld, die zu künftigen Fehlerszenarien führen könnten, sowie die psychologische Sicherheit dafür vermitteln.
- Stärkung der Cyber-Führungskräfte: Unternehmen, denen es ernst ist, Angriffe von vornherein zu verhindern - und erfolgreiche zusätzliche Angriffe, die in ihrem Gefolge auftreten können - erhöhen die Rolle der Cybersicherheit entsprechend. Ein Sicherheitsverantwortlicher, der nur ein paar Ebenen tief in der Organisation angesiedelt ist, wird nicht in der Lage sein, die nötige Unterstützung für einen ständigen Kampf gegen entschlossene Cyber-Kriminelle aufzubringen. CISOs, die mit der Führungsebene und den Vorständen ihrer Unternehmen zusammenarbeiten, sind in der Lage, die notwendigen Ressourcen zu mobilisieren, um die unaufhaltsamen Cyberrisiken zu mindern. Unternehmen, die die Cybersicherheit nicht als Kostenstelle, sondern als Mittel zum Zweck betrachten, sind am besten in der Lage, ihre Netzwerke vor laufenden Bedrohungen zu schützen.
- Holen Sie sich die Führungsebene ins Boot: Auch wenn ein Unternehmen nicht von aufeinanderfolgenden Angriffen betroffen ist (und vor allem, wenn dies der Fall ist), ist es wichtig, die Führungsebene und den Vorstand über das Risiko zu informieren. Erläutern Sie in geschäftlicher Hinsicht die potenziellen Auswirkungen eines nicht beherrschten Risikos. Erläutern Sie beispielsweise, wie sich ein erfolgreicher Ransomware-Angriff auf Ihre Fähigkeit auswirken würde, das erwartete finanzielle Wachstum zu erzielen, Kunden zu binden und/oder negative Presse zu vermeiden. Am wichtigsten ist, dass Sie sich mit der Führungsebene laufend über Ihre "Fähigkeiten und Kapazitäten" für ein effektives Management Ihrer Cyberrisiken unterhalten. Je häufiger diese Gespräche stattfinden, desto geringer ist die Wahrscheinlichkeit, dass ein Unternehmen angegriffen wird. Laut der Cymulate-Umfrage verzeichneten Unternehmen, die sich häufiger über Cybersicherheit austauschen, einen deutlichen und messbaren Rückgang der Sicherheitsvorfälle im Vergleich zu denjenigen, die sich seltener treffen.
- Minimieren Sie die Angriffsfläche: Die Größe und Komplexität der Technologieumgebung eines Unternehmens ist ein wichtiger Faktor für wiederholte Angriffe. In dem Maße, in dem Unternehmen Multi-Cloud-Infrastrukturen einführen und den Umfang ihrer Systeme erweitern, ist die Transparenz ihrer Umgebungen entscheidend. Das gilt auch für das Patchen. Die Nutzung von Bedrohungsdaten zur Priorisierung der kritischsten Systeme (z. B. Systeme mit Internetanschluss und aktiv ausgenutzten Schwachstellen mit hohem Risiko) für das rechtzeitige Patching ist eine ausgezeichnete Strategie.
- Maximierung der Kontrollen: Wie die Forrester-Analystin und Audit-Veteranin Renee Murphy zu sagen pflegt: "Vertrauen ist keine Kontrolle, und Glück ist keine Strategie."[4] Stattdessen sollten Unternehmen die Risiken in ihren Tech-Stacks sowie die Fähigkeiten und Kapazitäten ihrer Cybersicherheitsteams und -tools quantitativ bewerten, um etwaige Lücken zu schließen. Sie können Managed Service Provider oder eine von verwaltete SIEM-Plattform (Security Information and Event Management) nutzen, um ihre internen Teams zu ergänzen und Cybersecurity-Tools einzusetzen, die auch die wichtigsten Kontrollen abdecken (Mimecast deckt beispielsweise fünf der 12 wichtigsten Kontrollen ab, die von den meisten Cyber-Versicherungen verlangt werden). Die Bemühungen um die Integration der Cybersicherheit werden dazu beitragen. Eine regelmäßige, quantitative Überprüfung der Sicherheitslage des Unternehmens ist ebenfalls ratsam.
- Testen Sie Aktionspläne: Ein Cyberangriff ist eine Überraschung, aber die Reaktion des Unternehmens sollte es nicht sein. Cyber-versierte Organisationen testen regelmäßig die Wirksamkeit ihrer Reaktion auf Vorfälle mit Tabletop- und Red-Team-Übungen. Und sie prüfen jeden auf Herz und Nieren, nicht nur das Cybersicherheitsteam, sondern alle relevanten Funktionen, wie PR, HR, Recht und Betrieb. Unternehmen bauen ihre Cyber-Resilienz im Laufe der Zeit und durch häufige Tests auf.
Die Quintessenz
Zwar kann jedes Unternehmen Opfer eines Cyberangriffs werden, doch können bewährte Verfahren zur Behebung von Schwachstellen und zur Verbesserung des Schutzes von Mitarbeitern, Prozessen und Technologien die Wahrscheinlichkeit eines erneuten Angriffs verringern. Lesen Sie unter mehr darüber, wie die cloudbasierten Lösungen von Mimecast die Strategien zur Cyberabwehr ergänzen und eine größere Cyberresilienz ermöglichen können.
[1] "Kosten einer Datenschutzverletzung 2022: Ein millionenschwerer Wettlauf um Erkennung und Reaktion," IBM
[2] "Umfrage zeigt, dass Unternehmen, die von Cyberangriffen betroffen sind, wahrscheinlich mit wiederholten Angriffen rechnen müssen," Cymulate
[3] "Kosten einer Datenschutzverletzung 2022: Ein millionenschwerer Wettlauf um Erkennung und Reaktion," IBM
[4] "Erlauben Sie mir, mich vorzustellen...," Forrester
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!